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PROCEDE ET INSTALLATION DE TELECHARGEMENT D * UNE PLATEFORME 
DE DECODEUR D ' US ACER 

La presence invention concerne le domaine des decodeurs 
5 utilises par les abonnes a la television numerique, notam- 

ment a accfes condi t ionnel . 

La plupart des op^rateurs de television numerique 
diffusant actuellement en Europe proposent des decodeurs en 
location, Ces decodeurs permectent de recevoir.la totalite 

10 des services d ' un seul op^rateur. A l*etranger, on trouve 

d^j^ des decodeurs en vente dans des r^seaux de distribu- 
tion. Mais chaque decodeur est dedie ^ un seul operateur, ou 
a un groupe d'operateurs bien determine et invariable, Le 
consommateur hesite a acheter ce produit, relacivement 

15 couteux, alors qu'il n*est pas certain d'apprecier le 

bouquet de programmes offert par 1' operateur ou alors qu'il 
salt que le decodeur qu'il acquiert sera inutilisable pour 
recevoir un bouquet apparaissant dans le futur. 

L ' augmentation continue du nombre des operateurs de 

20 t61§vision et des services complementaires qu'ils off rent, 

tels que guide de programme electronique, paiement ^ la 
stance, etc., rend cette situation de moins en moins 
acceptable pour 1 • usager . 

Les plateformes mat6rielles des decodeurs de reception 

25 directe de television diffus6e par satellite sont normal!- 

s6es. En effet. La norme DVB de 1 ' ETSI impose ^ tous les 
fabricants une structure mat6rieile commune aux decodeurs. 
De plus, elle pr6voit opt ionnel lement une interface commune 
permettant de connecter des modules de contrdle d'accfes ^ 

30 des bouquets diff^rents, sous foxTne d'une carte PCMCIA 

insurable dans un connecteur de d6c6deur. Cette solution est 
coQteuse. Elle exige une duplication de nombreuses fonc- 
tions. Si elle permet de recevoir des emissions de televi- 
sion provenant de plusieurs operateurs en changeant la 

35 carte, elle ne donne generalement pas accfes aux services 
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associ^s, 

Une difficulte supplementaire provient de ce que les 
Plateforxnes de reception d • un meme bouquet peuvent provenir 
de plusieurs fournisseurs ucilisant des maceriels diffe- 
rents, ayant simplement un moceur d • application conrmun 
xmpos^ par l-op^rateur, tel que OPEN TV, MEDIA HIGHWAY 
DAVID, constituant une couche logicielle de niveau interm4- 
dxaxre. Mais des operateurs diff^rents in,posent gen^ralement ^ 
des moteurs d ■ application differents. Au surplus, une 
version ulterieure d^une xneme plateforme peut comporter des " ^ 

fonctxonnalites supplementaires , permectant 1 ■ acc^s a des 
servxces qui resteront a 1 ■ heure actuelle inaccessibles pour 
les possesseurs de versions anterieures. 

La presente invention vise notanunent A fournir un ^ 
procede et un dispositif perxnettant de rendre une plateforxne 
de decodeur banalis^e apte a recevoir des emissions prove- 
nant d'op^rateurs differents, qu'ils utilisent ou non le 
meme mode de controle d'acc^s et/ou le meme moteur d^appli- 
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Dans ce but, 1- invention propose notamment un procede de 
t^l6chargement de logiciel d ■ application propre ^ un 
op4rateur dans une plateforme banalisee de decodeur de 
television numerique, suivant lequel : 

- on memorise une fois pour toutes, dans une zone 
memoire protegee et non r^inscriptible de la plateforme, un 
chargeur d' initialisation et de demarrage securis6, 

- on diffuse periodiquement, dans le signal de televi- 
sion num4rique provenant d'un operateur prevu pour itre 
accessible, un message contenant le programme d • application 
rendant la plateforme apte ^ decoder le flux de donn^es du 
signal de television de 1- operateur et ^ traiter les servi- 
ces, lesdits messages comportant une signature eiectronique 

- ^ la reception, les messages contenant le programme 
sont seiectionnes, decodes et Merits en memoire r^inscrip- 
tible de programme, ^ventuellement sur commande de 1-utili- 



sat eur . 

Ce precede est complet ement different, dans sa structure 
et dans sa fonction, du simple telechargement de mise a jour 
d*un logiciel complementaire , reserve aux abonnes d ' un seul 
5 op^rateur. II est 6galement cres different de la simple 

transmission de messages de gestion de titres d'acces, dits 
EMM. II permet en effet d'acceder a 1 * un quelconque de plu- 
sieurs bouquets differents, a partir d ' une meme plateforme, 
et ce de fapon simple. 
10 Deux cas differents peuvent se presenter ; ils peuvent 

1 ' un et 1 ' autre etre traites par mise en oeuvre de 1 ' inven- 
tion . 

Le premier cas est celui de I'operateur qui souhaite 
permettre a un usager disposant d'un decodeur d'abandonner 

15 le bouquet d'un concurrent en faveur du sien. Dans ce cas, 

1* usager resilie son abonnement au bouquet concurrent. II 
s * abonne au nouveau bouquet et demande le telechargement du 
logiciel d * application du bouquet qu'il veut recevoir. 
L'op^rateur inclut dans la diffusion du logiciel les 

20 elements de filtrage permettant au possesseur de la plate- 

forme de memoriser le programme. Puis 1 ' ut ilisat eur appelle 
le programme chargeur d ' initialisation qui iui presente un 
menu permettant de saisir, h I'aide de sa telecommande, les 
paramfetres du transpondeur du bouquet qu'il veut recevoir. 

25 II lance le processus de telechargement, dont la dur^e 

depend de la bande passante allou^e par I'op^rateur ^ cette 
f onctionnalit6 dans son emission. 

Le logiciel d * application est ecrit dans une memoire de 
programme. Elle peut etre une memoire flash, dont la dur6e 

30 d'^criture est longue. L*operateur qui ne prevoit que cette 

possibility peut se borner a ne transmettre le logiciel 
d ' application permettant d'acceder a son bouquet que la nuit 
et sous forme de paquets successifs transmis a intervalles 
importants, ce qui n*obere que tres peu le debit disponible 

35 pour la television et des donnees d' autre nature. 



autre cas est celui ou les op^rateurs concurrents 
souha.tent autoriser le "zapping- entre bouquets par un 
abonne commun. Dans ce cas, il peut y avoir des tel^charge- 
znents frequents d^un prograxnme d ■ application destine ^ 
rexnplacer un prograrr^e memorise. Pour eviter une attente 
trop longue (due ^ la dur.e d-.criture dans une m.moire 
flash) les programmes seront alors stockes et executes dans 
une m4moire vive de programme qui remplacera ou accompagnera 
en frontal la m^moire flash. La presence d-une m^moire flash 
en Plus d-une memoire vive permet de conserver une version 
de programme sous forme non volatile. En cas d^ absence de 
memoire flash, un telechargement sera effectue apres toute 
coupure d ■ alimentat ion . 

possible de prevoir, en plus de t^l^chargements 
effectues ^ 1- initiative de l-abonn^. des telechargements de 
m^se ^ jour ou d-adjonction de f onct ionnal it^s ayant un 
caract^re obligatoire, pour tenir compte de modifications de 
1 • exploitation. 

Le proc6d4 doit r^pondre ^ deux exigences. ll doit gtre 
select.f. c-est-a-dire permettre de cibler certaines 
Plateformes seulement ; il doit etre efficace et permettre 
de d^s.gner, dans un m^me message, toutes les plateformes 
qux doivent recevoir la meme version de logiciel. Ces deux 
fonctions peuvent itre remplies par une operation qu'on peut 
Qualafxer de filtrage, consistant ^ designer, par les 
indications 4crites soit dans I'en-tgte d-un flux de tele- 
chargement de logiciel, soit dans les tables d ■ information 
assocxees aux services (PSI et si), les decodeurs concern^s 
par ce flux. Pour cela, l-en-tete (ou les PSI/SI) peut 
comporter plusieurs champs definissant des caract^ristiques 
Qu. sont egalement inscrites dans les platef orraes . Ces 
caracteristiques peuvent etre definitives, comme celles de 
la partie mat^rielle, et d'autres ivolutives, comme celles 
ae la partie logicielle. 
5 L- invention propose egalement une installation de 



t^l^chargement de logiciel d ' appl icat ion dans des plate- 
formes de decodeur de television numerique, comprenant : 

- dans chaque plateforme, des moyens de selection et 
d' extraction d ' un flux de donnees representant un logiciel 

5 specifique du bouquet of fert par un operateur et une memoire 

programmable reinscript ible de stockage dudit logiciel, et 
de traitement pour commander la plateforme pour exploiter 
les services identifies par le logiciel, et 

- au niveau du diffuseur, des moyens pour inserer de 
10 facon repetitive, dans les donnees numeriques diffusees 

d'une part, un flux de donnees representant ledit logiciel 
specifique et d' autre part des informations decrivant les 
caracteristiques des decodeurs destines a recevoir le 
logiciel . 

15 Les moyens de selection et d' extraction peuvent etre 

constitues par un module de traitement banalise independant 
d' operateur assurant 1 ' ensemble des fonctions. 

Dans une variante de realisation, tout ou partie du 
programme (ou d'un logiciel d'accfes a ce programme) peut 

20 etre transmis par le reseau 1 61ephonique , ^ condition que la 

plateforme comporte des moyens de couplage 6. ce reseau. 
Toutefois cette complication ne sera gen^ralement pas 
n^cessaire, car la bande passante requise pour transmettre 
un programme d' application en un delai raisonnable reste 

25 faible. Si 1 ' on considfere par exemple le cas d'un op6rateur 

utilisant un canal satellite ayant une largeur de 36 MHz et 
exploitant quatre transpondeurs , il suffit de consacrer 1 % 
du d6bit disponible, c'est-^-dire environ 1,2 Mbits/s, pour 
charger un logiciel moyen de. 1 Mo en environ 8 secondes, 

30 Si seul un changement . exceptionnel de programme est 

envisage, pour permettre un changement d * abonnement , la 
transmission peut s'effectuer avec un d^bit moyen extreme- 
ment faible, qui n'a pas d' influence sensible sur la bande 
passante disponible . 

35 Les caracteristiques ci-dessus ainsi que d*autres 
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apparaitront mieux a la lecture de la description qui suit 
d'un mode particulier de realisation, donne a titre d- exam- 
ple non limitatif. La description se refere aux dessins qui 
1 'accompagnent , dans lesquels : 

- la figure 1 est un schema de principe de 1' architec- 
ture materielle d • une plateforme d'un decodeur associe a un 
poste de television ; 

- la figure 2 est un schema du t elechargement ; 

- la figure 3 montre une constitution possible d'en-tete 
(ou de descriptif prive dans une table PSI ou SI) permettant 
un filtrage ; 

- la figure 4 montre une sequence de chargement. 

L' invention sera essentiellement d^crite dans son 
application a un decodeur de reception de signaux de 
IS television numerique de type MPEG2 , constitues par un 

multiplex forme de paquets successifs. Les paquets transpor- 
tent : 

- les composantes audio et vid^o, 

- des donn^es numeriques, parmi lesquelles seront inclus 
20 les logiciels k t^lecharger. 

L- architecture de la plateforme d'un decodeur est 
generalement celle schematisee en figure 1. Elle comporte : 

- une interface de reseau 10, assurant les fonctions de 
reception et de demodulation, dont la constitution depend du 
r6seau (r6seau terrestre cable. diffusion directe par 
satellite, reseau hertzien) ; 

- un d^multiplexeur temporal 12 effectuant aussi le 
desembrouillage, s^parant les composantes du signal recu ; 

- des decodeurs audio 14 et video 16 ; 

- un module 18 de traitement de donnees et de gestion du 

decodeuiT . - 

Le d^multiplexeur 12 fonctionne sous la dependance du 
module 18. II dirige les paquets video vers le decodeur 
vid6o 14, les paquets audio vers le decodeur audio 16 et les 
donates vers le module 18. II desembrouille les composantes 
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qui ont ete embrouiilees par le controle d'acces a 1' emis- 
sion . 

Les decodeurs audio 14 et video 16 assurent la decom- 
pression MPEG2 et delivrent 1 ' information numerique decom- 
press^e a des convert isseurs numerique- analogique 20 et 22 
d'ou sortent des signaux audio ec video exploitables par un 
televi seur . 

Le module 18 gere 1 ' ensemble des elements internes au 
d^codeur et egalement des elements d ' interface, utilisateur 
24, tels que clavier, recepteur infrarouge de t el ^commande , 
afficheur. II peut piloter egalement une interface d'intr^e- 
sortie 25 avec des elements optionnels permettant d'^tendre 
les f onct ionnali t4s , comme un modem telephonique 26 cu un 
interface rapide 23 pour connexion a un micro-ordinateur . Le 
processeur esc egalement generalement reiie a un connecteur 
29 de reception d ' une carte a micro-circuit ou carte a puce^ 
contenant par exemple les circuits de calcul d'une cl6 de 
d^sembrouillage . 

Le module 18 a un processeur 30 reli^ par un bus 32 k 
des m^moires. Classiquement ces memoires comport ent : 

- une memoire morte 34, non volatile et non reprogram- 
mable sans intervention materielle, directement adressable 
par le processeur, 

- une memoire vive volatile de travail 36, directement 
adressable par le processeur et destinee ^ la manipulation 
des donnees . 

Pour permettre la mise en oeuvre de 1* invention, les 
m^oires comporteront egalement des espaces memoires 
suppl^mentaires permettant notamment de stocker : 

- un programme chargeur d • ini t ialisat ion et de d^marra- 
ge, qualifie de "boot loader", situ6 dans une zone m&noire 
non volatile, protegee, non-reinscript ible , (le caract^re 
non r^inscriptible de la zone pouvant etre obtenu par 
exemple par masquage a la fabrication) ; 

- le logiciel op6rationnei complet d'un bouquet num^ri- 
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que particulier a un op^rateur prive, et cela dans una zone 
r^inscriptible, 

Dans le cas illustr^ sur la figure 1, les m^moires 
comport ent dans ce but : 

- une memoire non volatile reprogrammable 38, directe- 
ment adressable par le processeur, destinee ^ recevoir le 
logxcxel d ■ applicat ion , telle qu'une memoire flash ; cette 
memoire pent gtre pr^vue pour memoriser les programmes 
sp^cifiques de plusieurs bouquets si la plateforme est 
pr^vue pour permettre de zapper sans avoir ^ attendre un 
rechargement ; 

- une memoire non volatile 40 destines a recevoir des 
donn^es de configuration du decodeur ; cette memoire, qui 
n-est pas obligatoirement adressable par le processeur. peut 
etre une memoire morte reprograrronable ^lectriguement ou 
EEPROM ; 

La memoire morte 34 peut etre une partie non xnodifiable 
cae la memoire 38, si c'est une memoire flash. 

L- architecture logicielle du decodeur peut #tre consid^- 
ree comme comportant trois niveaux ou couches de fonctionna- 
ixte, la couche d'attaque, la couche syst^me et la couche 
d'appli 

cations int eractives . 
La couche d-attaque ou "driver" est sp^cifique et 
adaptee ^ 1 • architecture mat^rielle. C^est elle qui permet 
de mettre en oeuvre les fonctions materielles offerees par 
le decodeur. 

La couche syst^me gere la plateforme et offre les 
services generaux, done le mot eur d • application, necessaires 
^ son fonctionnement et les services appeles par les 
applications interactives . Pour remplir cette fonction, la 
couche systeme comportera g^neralement un interpreteur 
per^ettant de transformer un code source en code objet En 
revanche, un compilateur n'est pas necessaire car il suffit 
que la transformation s'effectue k chaque nouvelle utilisa- 
tion de la couche systeme. 



Enfin la couche d ' appl icac ions inceractives assure 
1 • interact ivit:4 locale et utilise le moteur d • application ; 
elle peut egalement etre prevue pour constituer interface 
avec le modem 26 de liaison avec une ligne t elephonique . 
Cette couche comporte des applications d' interface avec 
1 ' utilisateur , qui font appel aux services offerts par la 
couche syst^me. 

Les applications et les ressources associees sont pour 
partie residentes, c*est-a-dire memorisees -de maniere 
permanente en memoire morte du decodeur, et pour partie 
t^l^chargee par la couche systeme a partir du signal de 
television a la norme MPEG2 . 

Les applications d' interface avec 1 ' ut i 1 isat eur sont 
gen^ralement ecrites en langage script. La couche systeme 
interprets les informations en langage script et gere 
1' activation et le t elechargement des applications interac- 
tives. Cette couche systeme est chargee sur la plateforme en 
code directement interpretable par le processeur 30. 

Le passage d'un bouquet a un autre correspond princi- 
palement it une reconfiguration des memoires. 

Operations de tel^cha raemfinr 

Le tel^chargement d'un programme d ' application se 
d^roule de la fapon suivante. 

Le changement de bouquet implique de charger la totality 
du logiciel permettant de traiter le bouquet, et cela 
ind6pendamment des part icularites du mode de controle 
d* accfes . 

Pour cela, il doit y avoir chargement des logiciels 
r^sidant dans le decodeur, ce qui se fait par reinitialisa- 
tion de 1' ensemble de la memoire de programmes 38, g6nerale- 
ment une memoire flash. 

Les donnees qui sont transmises a la plateforme lors du 
t^lechargement pour reinit ialiser la memoire flash 38 sont 
les memes pour toutes les plateformes ayant la meme consti- 
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tution materielle. 

Le schema de la figure 2 correspond au cas d^un tele- 
chargexnent utilisan. la partie donnees du flux diffuse Le 
logxciel a charger se presence sous forxne d • un fichier. Dans 
la plateforme, il est extrait et adresse en memoire vive 36 
ou XI est reassemble avant d'etre ecrit dans la memoire de 
programmes 38 qui contiendra done finalement les couches 
d.attac^ue, systeme ec d ■ appl icat .ons , y compris le moteur 
a applications. 

Dans d-autres cas, le telechargement peut se faire par 

1 interface d' entree-sortie 25 a i-^sh^ ^. 

a 1 aide d * un modem ou d ' un 

micro-calculateur . 

Le telechargement comporte dans tous les cas, au niveau 
du dxffuseur, la generation des fichiers image a ecrire en 
memoire de programme 38 de la plateforme. Ces fichiers 
peuvent avoir des natures cres diverses : 

- fichiers objet deja compiles, 

- applications ecrites en langage script, 

- autres fonctions, telles que bibliothdque 

, fichiers image ainsi constitues sont ensuite 

for^at^s pour les adapter au mode de transmission retenu 
c^est-a-dire soit par le reseau de diffusion des programmed 
de television, soit par le reseau filaire. 

Dans les deux cas, la premiere operation effectu^e dans 
la Plateforme, lors de la reception des fichiers, est un 
fxltrage de s^lectivite, afin que seuls soient charges les 
programmes d ■ applications provenant d'un op^rateur bien 
d^ter^in^. Cette operation peut etre accompagnee, comme on 
le verra Plus loin, du controle d-une signature electronique 
dans l.en-t^te du flux de donnees constituant le logiciel 
d' application ^ charger. 
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Filtr-ar^o 

Le filtrage de selectivite permet de ne charger le pro- 
gramme d. applications que dans des platefor^es identifiees 



11 

et de le charger dans coutes ces platef ormes . Or il existe, 
^ un moment donne, de nornbreux types de plateformes en 
service, contenant en general des logiciels differents. Si 
les plateformes, bien que de types differents, sonc initia- 
5 lement prevues pour un merne operateur. elles comportent le 

meme moteur d * applicat ions . Mais meme ce moteur d' applica- 
tions change lorsqu ' on passe d ' une placeforme programmee 
pour recevoir le bouquet d ' un operateur particulier h une 
plateforme programmee pour un autre operateur- : il devra 
10 etre remplace en memoire d ' appl icat ions . 

Parmi les elements qui peuvenc changer suivant 1 ' origine 
du decodeur et 1 ' architecture materielle du decodeur, on 
peut citer : 

- le fabricant du decodeur, qui utilise souvent une 
15 architecture propriet aire , 

- le mode d ' acquisi t ion du decodeur (achat, achat avec 
subvention dediant le decodeur a un operateur particulier 
pour une dur^e determinee, location) qui peut se traduire 
par des fonctions de controle d'acces et done des couches 

20 systfeme diff^rentes, 

- la date d ' acquisition, le logiciel pouvant avoir ete 
modifie dans le temps. 

Tous ces elements seront inscrits dans un identifiant du 
decodeur, qui peut comporter notamment les champs suivants : 
identification du fabricant, 
version de la plateforme materielle, 

mode d • acquisition (location, vente subvent ionnee, 
vente non subvent ionnee, etc.), 
: identification du logiciel, indiquant la version 
30 courante du logiciel. chargee dans le decodeur, 

C5 : numero de s^rie individual du decodeur. 

Le champ , contrairement aux autres, sera modifie ^ 
chaque telechargement . 

Pour permettre le filtrage, un identifiant est pr6vu 
3 5 dans chaque decodeur et chaque flux de donn^es representant 
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un logiciel d • appl icat ions comportera des parametres permet- 
tant de n-effeccuer des operacions de rechargemenc ou de 
mise a jour que sur les decodeurs appropries. 

Cec en-tete comporcera des champs affecces chacun a un 
5 de ces parametres. 

La figure 3 montre, a titre d-exemple. une constitution 
possible d-en-tete d ■ un flux de donnees ; cet en-tete est 
constitue par un bloc de N octets, precede d ■ un octet 
indiquant le nombre N. 

10 A chaque champ du decodeur correspond soit un seul 

fxltre de selection materialise par le champ correspondant 
de 1- en-tete, soit plusieurs. Le chargement dans un decodeur 
n-est possible que lorsque toutes les operations de filtrage 
donnent un resultat positif. 

Le premier champ peut se limiter a un seul filtre 
mdiquant le fabricant concerne. 

Le second champ peut comporter plusieurs filtres 

correspondant a des versions differentes de la platefor^^e! 
et un operateur de filtrage constitue par une fonction OU • 
11 suffxt, pour que le resultat du filtrage soit positif 
que 1-un des filtres soit identique a €3 - 

Le champ C3 peut etre constitue par un filtre unique F, 
1- operateur de filtrage ^tant alors une intersection Le 
resultat du filtrage est positif si C3AF3 est non nul . 

Le champ comporte un unique filtre F4 et 1' operateur 
de filtrage est alors la comparaison c^{f^ : ii faut en 
effet que le chargement soit effectu^ sur tout decodeur non 
encore mis a jour. 

Le champ C5 sera g^neralement plus long que les autres 
et comportera par exemple 32 bits ; il contiendra par 
exemple plusieurs filtres F^j qui donnent chacun une limite 
xnferieure et une limite superieure, identifiant une s6rie 
de decodeurs sur lesquels une mise 4 jour doit §tre effec- 
tu6e. Le resultat du filtrage est positif si la valeur 
contenue dans le champ C5 de 1 ■ identifiant est comprise 
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entre les deux valeurs donnees par un au moins des filtres 



Les donnees a inscrire dans la memoire d • applications 38 
sont transmises au decodeur avec 1 ' indication de I'adresse 



li peut arriver, notamment lorsqu'une memoire vive de 
formatage 3 6 est placee en amont de la memoire programme 38, 
que 1 ' acquisition des donnees de programmat ion complete ne 
puisse se faire en une seule operation et avec une seule 
adresse . 

Dans ce cas, les donnees representatives du logiciel k ^ 



telecharger sont transmises au decodeur sous forme de blocs 
successifs de donnees contigues et les donnees d'un bloc 
sont recopiees ^ une meme adresse de la memoire de pro- 
gramme 38. Le seQuencement du chargement d'un logiciel en 
memoire programme 38 peut alors etre celui schematise en 
figure 4. Les blocs de donnees successifs comportent chacun 
une adresse de depart A^^, . . . , indiquant une adresse en 

memoire de programmes 38, la partie donnees , 
un code correcteur d'erreur. lis sont precedes de 1 ' envoi 
d'un bloc d'en-tete 44 ayant un descripteur d * application DA 
et des descripteurs DD^/ .... DD^ des blocs successifs. Les 
adresses de depart permettent 1 ' inscription immediate en 
memoire de programmes 38. 

Le bloc d'en-tete identifie 1 ' application a charger et 
donne la liste des blocs qui la composent . Les blocs de 
donnees composant 1 ' application sont generics 4 partir des 
blocs image auxquels sont ajoutees des informations de 
s^curisation du transport, constitutes par un code de 
detection (et eventuellement de correction d'erreur). II 
peut notamment s'agir d'un code cyclique redondant , genera- 
lement d^signe par 1 ' abreviation CRC . 
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A laquelle elles doiventt etre recopiees dans la memoire 38. 
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Conune on 1 ■ a indique plus hauc , ie celechargement est 
securise, de facon a interdire : 

- les celechargemencs de donnees qui ne sonc pas trans- 
mises par un op^rateur autorise, 

- les t^lechargements de donnees dans une platefonne qui 
n-est pas autorisee a les recevoir. 

La securisation peut etre basee sur un chif frement a 
c es privies et/ou public^ues. On sa.t que le chiff.en^ent a 
cle publique utilise un algorithxne di f f icileinent reversible 
tel que la connaissance de la cle publique et du message 
chxffre ne permet pas, sans des calculs de duree irrealiste 
de remoncer au message d'origine. 

La figure 4 xnontre, en tirets, des ajouts a effectuer a 
I'en-tete 44 pour securiser le message. 

A chaque bloc de donnees est associee une signature s, 
S„ qux est incluse dans I'en-tete. La signature 
calcul^e a partir des donnees du bloc respectif, permet de 
verifier 1 'authenticite de ce bloc. 

^ l"«n-tete comporte une signature qui est 

transn^ase sous une for^e chiffree S. L-algorithme de 
chxffrement de la signature du bloc d-en-t^te sera un 
algorithme a cl^ privee, par exemple de type RSA. La cl6 
Priv6e n-est detenue que par le constructeur . Le calcul de 
la signature non chiffree a partir de la signature chiffree 
S s-effectue dans le decodeur par un algorithme a cle publi- 
ctue stock4 dans la xnemoire morte 34 ou dans une zone 
prot6g6e de la m^moire programme 38. s'il s'agit d^une 
m^moire flash. 

La Signature S permet de verifier 1 ' authenticity du bloc 
d.en-t#te,_ done des donnees qu'il transports, et en particu- 

lier des signatures S-^ s . 

Les instructions de demarrage du decodeur lors de la 
mxse en service sont stock^es egalement en memoire morte 
axnsi que le chargeur de mise I. jour du terminal. Pour 
pallxer les cas de corruption de la memoire programme 38. 
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notarnment s*il s'agit d'une memoire flash, due a une inter- 
ruption pendant le chargement, la fonction de mise a jour du 
terminal est associee directemenc a la fonction de demarrage 
du processeur du decodeur, iorsqu'une corruption est 
constatee. 

Dans le cas particulier d'une diffusion conforme a la 
norme MPEG2 , les donnees de mise a jour et de chargement de 
logiciel d ' appl icat ion sont cransportees dans un service DVB 
de donnees privees , du type designe dans la _ norme comme 
"terminal update". Les blocs constitutifs du logiciel ^ 
charger sont d^coupes en elements d'une taille maximum de 
4064 octets, chaque element ayant un en-tete de 16 octets. 
L ' identi f icat ion d ' un service de mise a jour ou de rechar- 
gement d'un logiciel s'effectue a partir des donnees de 
signalisat ion du reseau. 

Le precede de t^lechargement de logiciel d ' application 
suivant 1* invention n' interfere absolument pas avec les 
t616chargements de mise a jour du logiciel de I'operateur 
courant, c'est-a-dire de celui aupres duguel 1 ' usager a pris 
un abonnement . 



10 



15 



20 



25 



30 



16 

REVENDICATIONS 



1. Precede de telechargement de logiciel d • appl icat ion 
propre ^ un operateur dans une placefonne banalisee de 
d^codeur de television numerique, suivant lequel : 

- on memorise une fois pour coutes, dans une zone 
memoire protegee et non reinscriptible de la plateforme, un 
chargeur d ' initialisation et de demarrage securise, 

- on diffuse periodiquement, dans le signa.1 de televi- 
sion num^rique provenant d'un operateur prevu pour etre 
accessible, un message contenant le prograntme d ■ application 
rendant la platefon^e apte ^ decoder le flux de donnees du 
signal de television de 1 'operateur et a traiter les servi- 
ces, lesdits messages comportant une signature el ectronique , 

- a la reception, les messages contenant le programme 
sent s^lectionnes, decodes et Merits en memoire reinscrip- 
tible de programme, 4ventuellement sur commande de I'utili- 
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Procide selon la revenidication 1, caracterise en ce 
que le logiciel d • application est transmis sous forme de 
donnees h programmer dans ladite memoire inscriptible en 
blocs de donnees recopies chacun a une adresse de la memoire 
inscriptible fournie dans un en-t§te du bloc. 

3. Proc4d6 selon la revendication 2, caract^ris^ en ce 
que I'on fait pr^ceder les blocs de donnees d-un bloc d'en- 
tite comprenant une description de 1 • application et de 
chacun des blocs de donnees. 

4. Proced6 selon la revendication 3, caract^ris^ en ce 
que chaque bloc de donnees comport e un code de correction 
d'erreur, tel qu • un code cycligue redondant . 

5. Precede selon la revendication 3 ou 4. caracterise en 
ce que I'en-tdte comporte au moins un des champs suivants : 

- identification du fabricant de la plateforme ; 

- version de la plateforme mat^rielle. 

- mode d- acquisition du decodeur. 
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- identification de la version courante du iogiciel et 

- numero de serie individuel du decodeur. 

6. Proc^de selon la revendicat ion 2 caracterise en ce 
que des informations SI ou PSI associees aux messages 

5 diffuses et contenant des programmes d ' appl icat ion compor- 

tent au moins 1 ' un des champs suivants : 

- identification du fabricant de la plateforme ; 

- version de la plateforme materielle, 

- mode d' acQuisit ion du decodeur, 

- identification de la version courante du Iogiciel et 

- numero de serie individuel du decodeur. 

7. Precede selon la revendicat ion 4, 5 ou 6 , caracterise 
en ce que chacun des blocs de donnees est associ^ a une 
signature chiffree incluse dans I'en-tete et en ce que 1 * en- 

15 tete lui-meme comporte une signature chiffree. 

8. Installation de t elechargement de Iogiciel d' applica- 
tion dans des plateformes de decodeur de television numeri- 
que, comprenant : 

dans chaque plateforme, un module de traitement 
20 banalis6 ind^pendant d' operation assurant : la selection et 

1* extraction d ' un flux de donnees representant un Iogiciel 
sp^cifique du bouquet offert par un operateur, son inscrip- 
tion dans une memoire programmable reinscript ible de 
stockage dudit Iogiciel et la commande du decodeur pour 
25 exploiter les services identifies par le Iogiciel, et 

- au niveau du diffuseur, des moyens pour inserer de 
fagon repetitive, dans le flux de donnees num^riques 
diffuse, d'une part une sequence de bloc representant ledit 
Iogiciel specif ique, et d' autre part des informations 

30 d^crivant les caract eristiques des decodeurs destines A etre 

charges . 

9. Installation selon la revendicat ion 8, caract6ris6e 
en ce que le module de traitement comprend, en plus de la 
memoire reinscript ible, un processeur, une memoire vive 

35 volatile de travail directement adressable par le proces- 

seur, et une zone memoire non volatile, protegee, non 
r^incriptible , s6curisee en acc^s. 
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Installation selon la revendication 9, caracterisee 
en ce que la zone memoire non volatile et protegee fait 
partie d ' une memoire flash. 
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